Hardening

Hardening (systeemverharding) is het proces waarbij je een systeem zo configureert dat het zo min mogelijk aanvalsmogelijkheden biedt. Je verwijdert of schakelt alles uit wat niet nodig is: overbodige diensten, open poorten, zwakke standaardinstellingen.

Principes

Minimale installatie — installeer alleen wat je daadwerkelijk nodig hebt
Minimale rechten — geef gebruikers en processen alleen de rechten die ze nodig hebben
Aanvalsvlak verkleinen — schakel niet-gebruikte diensten en poorten uit
Audit en logging — zorg dat je verdachte activiteit kunt opsporen

Veelgebruikte maatregelen

Maatregel	Doel
SSH wachtwoordlogin uitschakelen	Alleen sleutelauthenticatie toestaan
Firewall inschakelen	Ongewenst verkeer blokkeren
SELinux / AppArmor activeren	Processen in een beveiligde sandbox draaien
Automatische updates aanzetten	Bekende lekken snel dichten
Overbodige pakketten verwijderen	Aanvalsvlak verkleinen

Tools en standaarden

CIS Benchmarks — uitgebreide hardening-richtlijnen per distro en toepassing
OpenSCAP — controleert of een systeem voldoet aan een beveiligingsprofiel
Lynis — scant en scoort de beveiliging van een Linux-systeem

# Lynis beveiligingsscan uitvoeren
sudo lynis audit system

Zie ook

firewall — netwerkverkeer beperken
selinux — verplichte toegangscontrole
apparmor — profilegebaseerde sandbox
ssh-sleutels — veiliger inloggen
patching — kwetsbaarheden dichten met updates